News Gestohlene Account-Daten: Collection #1 ist nur die Spitze des Eisbergs

MichaG

Redakteur
Teammitglied
Dabei seit
Juli 2010
Beiträge
7.802
Der Cybercrime-Journalist Brian Krebs hat auf die jüngsten Berichte um die geleakte Datensammlung „Collection #1“ reagiert. Nach seiner Recherche wird diese als nur eine von diversen und teils noch größeren Sammlungen in Untergrund-Foren zum Kauf angeboten. Collection #1 sei zudem mindestens zwei bis drei Jahre alt.

Zur News: Gestohlene Account-Daten: Collection #1 ist nur die Spitze des Eisbergs
 

Knuddelbearli

Captain
Dabei seit
Nov. 2009
Beiträge
3.414
kann man das angebot von Have I Been Pwned auch nach Wildcard E-mail Adressen durchsuchen?

zB alle von @computerbase.de ? oder muss man da jede einzeln durchehmen
 

SlaterTh90

Lt. Commander
Dabei seit
Nov. 2014
Beiträge
1.090
Mich würde mal interessieren was genau da so alles bei ist. Nie im Leben sind das nur Logins bei den Größen.
 

wern001

Ensign
Dabei seit
Mai 2017
Beiträge
175
eines der größten probleme ist das viele Seiten die Benutzerpasswörter unverschlüsselt in der Datanbank abspeichern. Das witzige ist dann, bei solchen Seiten kann man sich sein Passwort als email im Klartext zusenden lassen. tztztz...
 
Zuletzt bearbeitet:

Maviapril2

Lieutenant
Dabei seit
Nov. 2008
Beiträge
530
Zuletzt bearbeitet:

Phear

Commander
Dabei seit
Dez. 2006
Beiträge
2.971

Flomek

Commander
Dabei seit
Dez. 2011
Beiträge
2.820
Ich schätze mal selbst die 4TB könnten auch nur ein Bruchteil sein. Wer weiß was da noch auf uns zukommt.
 

azereus

Commodore
Dabei seit
Okt. 2007
Beiträge
4.505
zB alle von @computerbase.de ? oder muss man da jede einzeln durchehmen
ja ist möglich. musst aber inhaber der domain sein https://haveibeenpwned.com/DomainSearch
Verify by email
Verify by meta tag
Verify by file upload
Verify by domain TXT record


Code:
Verify by domain TXT record
You can create a TXT record on the domain if it's not a subdomain. The record should have the following value:
have-i-been-pwned-verification=5caead8e290087d08XYZXYZXYZXYZ
 

CrEaToXx

Lt. Junior Grade
Dabei seit
Nov. 2018
Beiträge
311
Nicht umsonst wird seit Jahren von Nutzern mehr Eigenverantwortung und ein dynamischeres Sicherheitsverhalten gefordert. Man kann es sich natürlich einfach machen und alle Schuld bei den "Verantwortlichen" suchen. Die Verantwortlichen strikt man sich im Schadensfall dann je nach Fasson zurecht.

Man sollte sich immer vor Augen halten. Wenn ein Haker euch haken will, dann kann er das, höchstwahrscheinlich ohne viel Mühe, wie das jüngste Beispiel mit einem Laie aufgezeigt hat. Trotzdem gibt es mehr als genug Werkzeuge, um euch gegen nahezu alle Gefahren abzusichern, bzw. es dem Täter zumindest zu erschweren. Falls ihr dann immer noch betroffen seit...gegen Murphys Law kann man nicht viel ausrichten.

Man kann seine Email jederzeit auf Korruption prüfen.
Man kann Browser und seinen PC auf automatische Passwortalgorythmen programmieren.
Man kann aufhören daran zu glauben kostenfreie Virenprogramme wären zuverlässig. Gut ja, aber nicht vollumfänglich. Um kostenfreien Gesamtschutz zu erhalten, muss man mehrere Programme parallel laufen lassen. Was eventuell dazu führt, dass sich dann jeder wieder über miese Performance echauffiert.
Masterpassworte. Kein automatisches Login bzw. Speicherung von Login-/Account-/ oder im schlimmsten Fall Kontodaten(kein Scheiß, ich kenne Leute die aus Faulheit alles speichern und sich dann über "Unsicherheit" wundern).
Die Möglichkeiten die ein Router bietet möchte ich gar nicht detaillieren.
Es spricht absolut nichts gegen eine kombinierte Nutzung von Windows Defender mit "insert_any_Virenprogramm_here".

Ich fahre bis jetzt sehr zuverlässig mit einer ständig aktualisierten Fritze, G-Data, WD und im Akutfall Malwarebytes. Außerdem ist es ratsam die komplette Browserhistorie zu löschen (strg+ shift + entf), jedes mal wenn ihr das Netzt verlasst. Kann man natürlich auch automatisch machen. Ich mag es aber lieber zu kontrollieren was passiert ist. Sowas wirkt beruhigend. Das schafft auch größeren "Argumentationsspielraum", wenn man wirklich mal die Schuld auf die "Verantwortlichen" schieben möchte...:)

Und ja, bin auch schon mal Opfer eines Breaches geworden. Üben auf dem Modding Nexus. Glaube es war 2013. Auswirkung = 0, entweder weil ich als Opfer zu unattraktiv bin, oder weil ich schnell genug reagiert und mein Passwort geändert habe.
 

Maviapril2

Lieutenant
Dabei seit
Nov. 2008
Beiträge
530
@Kobura, stimmt, das war mir entfallen. Vielleicht mal an den Entwickler schreiben, falls es dich interessiert?
 

m.Kobold

Lt. Commander
Dabei seit
Feb. 2002
Beiträge
1.581
Spitze des Eisbergs lool, das ganze ist total gehypter bullshit, die meisten Daten sind total veraltet... da wurden einfach irgendwelche alten Datensätze zusammen gefasst.... unglaub wie das hier auf CB und auf anderen Webseiten künstlich aufgeplustert wird!

Meine E-Mail adresse ist nur da drin aufgeführt weil es bei Trillian und Heroes of Newerth ein breach gab und das ganze ist schon über 10 Jahre her.
 

bugmum

Lieutenant
Dabei seit
Mai 2007
Beiträge
949
"Have I Been Pwned" wird ein immer interessantes ziel für Hacker, die haben gleich alles aufeinmal.
Aus meinem Verständnis haben die doch nur die Information das es einen leak für diese emailadresse gab. Die sollten doch nicht das PW dazu abspeichern. Außerdem bedienen sie sich doch nur den allgemein verfügbaren leaks. Wozu die auch noch knacken, wenn man einfach so an alles drankommt.
Have I Been Pwned
Der Leak selber scheint aber echt hart zu sein. Das könnten dann ja mehrere Mrd. Emails + PW sein. Also im Schnitt quasi jeder xD.
 

f1nal

Lt. Junior Grade
Dabei seit
Jan. 2006
Beiträge
423
Bin ich richtig in der Annahme, dass das eigentliche Problem das ist, dass selbst starke Passwörter in diesen Leaks enthalten sind, weil sie unverschlüsselt von Webseiten abgegriffen wurden?

Ich nutze KeePass und für jeden Login ein anderes PW. Meine E-Mail-Adressen sind bislang nicht kompromittiert worden, aber kann man davon ausgehen, dass trotzdem die eigens generierten, starken PWs irgendwo in diesen Paketen enthalten sind?

Da sind doch echt die Website-Betreiber in der Pflicht, die Kunden-PWs zu verschlüsseln. Weil sonst war das ganze Generieren sicherer PWs/Logins umsonst...
 

EvilsTwin

Lt. Commander
Dabei seit
Juli 2012
Beiträge
1.116
Nicht umsonst wird seit Jahren von Nutzern mehr Eigenverantwortung und ein dynamischeres Sicherheitsverhalten gefordert. Man kann es sich natürlich einfach machen und alle Schuld bei den "Verantwortlichen" suchen. Die Verantwortlichen strikt man sich im Schadensfall dann je nach Fasson zurecht.
Genau wie die Verbraucher immer an allem Schuld sind was in der Wirtschaft so schräg läuft. Sie sind ja soo mächtig. Wer das glaubt, der glaubt auch an den Weihnachtsmann.

Jetzt zu sagen die User sind Schuld stellt das Thema diametral auf den Kopf. Das ein User sein PW regelmäßig ändert schützt ihn vor solchen Hacks erstmal garnicht. kunden oder Userdaten sicher zu speichern ist ja nun eindeutig Sache des Betreiber der die Daten erruiert, wie auch immer und wozu auch immer.
 

CrEaToXx

Lt. Junior Grade
Dabei seit
Nov. 2018
Beiträge
311
@f1nal

Du liegst mehr als richtig in dieser Annahme. Es gibt genug Studien, die aufzeigen wie groß die Verantwortung entsprechender Plattformen ist, zu lasch mit den Daten ihrer Nutzer umgegangen zu sein.

In der Tat stellt es sich immer wieder raus, dass eigtl. alle Nutzer recht Sicherheitsbewusst handeln, die Provider aber schlampig gehandelt haben. Wobei es immer Ausnahmen der Regel gibt.

Trotzdem ist sowas kein Freibrief für @EvilsTwin...;)

@EvilsTwin

Only a Sith deals in absolutes...natürlich tragen beide die Verantwortung. Es können auch beide die "Schuld" tragen. Wenn du unzufrieden mit der Leistung deines Providers, oder Betreiber der Plattform bist, warum nutzt du sie dann?...also mit diesen erheblichen Sicherheitszweifeln, würde ich mich doch viel lieber im Wald einbuddeln^^
 
Top